feat: add OpenAPI access control and configuration

- Introduced `openApiEnabled` configuration in the app settings.
- Implemented middleware to restrict access to API routes when OpenAPI is disabled.
- Updated API key creation logic to check OpenAPI status before proceeding.
- Added user feedback for disabled API access in the frontend.
- Created tests for OpenAPI functionality and response handling.
- Updated environment configuration to include `ENABLE_OPENAPI` variable.

Author: oiov

README.md

@@ -77,9 +77,10 @@
 -   `EMAIL_DOMAIN`: 您的邮箱域名，例如 `example.com,example.net`。
 -   `TURNSTILE_KEY`: 您的 Turnstile 站点密钥，可选。
 -   `TURNSTILE_SECRET`: 您的 Turnstile 密钥，可选。
--   `PASSWORD`: 站点访问密码（可选）。
--   `API_RATE_LIMIT_PER_MINUTE`: API 每分钟请求限制（可选，默认 100）。
--   `SHOW_AFF`: 是否展示推广弹框和常驻推广链接（可选，`true` 开启，默认不展示）。
+-   `PASSWORD`: 站点访问密码（可选）。
+-   `API_RATE_LIMIT_PER_MINUTE`: API 每分钟请求限制（可选，默认 100）。
+-   `SHOW_AFF`: 是否展示推广弹框和常驻推广链接（可选，`true` 开启，默认不展示）。
+-   `ENABLE_OPENAPI`: 是否开启 OpenAPI 调用功能（可选，默认开启；设置为 `false` 时禁用 API Key 创建与 `/api/v1/*` 调用）。
 
 ## 🔨 本地运行调试
 

README_en.md

@@ -133,6 +133,7 @@ When deploying to Cloudflare Pages, you need to configure the following environm
 -   `PASSWORD`: Site access password (optional).
 -   `API_RATE_LIMIT_PER_MINUTE`: API rate limit per minute (optional, default 100).
 -   `SHOW_AFF`: Show promotional popup and link (optional, `true` to enable, hidden by default).
+-   `ENABLE_OPENAPI`: Whether to enable OpenAPI access (optional, enabled by default; set to `false` to disable API key creation and `/api/v1/*` access).
 
 ## Community Group
 
@@ -144,4 +145,4 @@ GNU General Public License v3.0
 
 ## Star History
 
-[![Star History Chart](https://api.star-history.com/svg?repos=oiov/vmail&type=Date)](https://star-history.com/#oiov/vmail&Date)
+[![Star History Chart](https://api.star-history.com/svg?repos=oiov/vmail&type=Date)](https://star-history.com/#oiov/vmail&Date)

docs/ai-deploy.md

@@ -9,7 +9,7 @@
 
 部署后关键接口合同：
 
-- `GET /config` 返回：`turnstileEnabled`、`sitePasswordEnabled`、`apiRateLimitPerMinute`
+- `GET /config` 返回：`turnstileEnabled`、`sitePasswordEnabled`、`apiRateLimitPerMinute`、`openApiEnabled`
 - `GET /api/stats` 返回：`totals`、`today`、`yesterday`
 - `POST /auth/unlock`、`GET /auth/status`、`POST /auth/logout`
 
@@ -37,12 +37,14 @@
 - `TURNSTILE_SECRET`（可选）
 - `PASSWORD`（可选；为空时站点默认公开）
 - `API_RATE_LIMIT_PER_MINUTE`（可选；非法值或缺省回退到 `100`）
+- `ENABLE_OPENAPI`（可选；默认开启，设置为 `false` 时禁用 API Key 创建与 `/api/v1/*`）
 
 行为说明：
 
 - 当 `TURNSTILE_KEY` 和 `TURNSTILE_SECRET` 任一缺失时，前后端都进入“无需人机验证”模式。
 - 当 `PASSWORD` 为空时，前端不会出现站点解锁门禁；有值时需要先解锁站点。
 - `API_RATE_LIMIT_PER_MINUTE` 作用于 v1 API Key 中间件，按“每个 API Key、每分钟固定窗口”限流。
+- 当 `ENABLE_OPENAPI=false` 时，`/api/api-keys` 与 `/api/v1/*` 会统一返回 `403 OPENAPI_DISABLED`，`/api-docs` 页面仅展示提示。
 
 # 4. 数据库迁移与基础初始化
 
@@ -88,6 +90,7 @@
      - `turnstileEnabled`
      - `sitePasswordEnabled`
      - `apiRateLimitPerMinute`
+     - `openApiEnabled`
 2. 统计合同：
    - 请求 `GET /api/stats`
    - 断言返回结构含 `totals/today/yesterday`
@@ -104,8 +107,10 @@
    - 使用同一 API Key 连续请求 v1 API
    - 超过阈值返回 `429`
    - 响应头包含：`X-RateLimit-Limit`、`X-RateLimit-Remaining`、`Retry-After`
+   - 若 `ENABLE_OPENAPI=false`：`/api/api-keys` 与 `/api/v1/*` 返回 `403`
 6. 前端展示：
    - 首页 SiteStats 卡片显示增长率（today vs yesterday）
+   - `/api-docs` 在 `openApiEnabled=false` 时展示禁用提示
 
 # 7. 常见问题与回滚策略
 

docs/github-action-tutorial.md

@@ -24,6 +24,7 @@
 | `TURNSTILE_SECRET` | 可选，Cloudflare Turnstile 密钥 (Secret Key)。                                                           | `xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx`       |
 | `PASSWORD`         | 可选，用于访问 Vmail 网站的密码。                                                                    | `password`                             |
 | `API_RATE_LIMIT_PER_MINUTE` | 可选，API 每分钟请求限制，默认为 `100`。                                                        | `100`                                  |
+| `ENABLE_OPENAPI`   | 可选，是否开启 OpenAPI 调用功能；默认为开启，设置为 `false` 时禁用 API Key 创建和 `/api/v1/*`。     | `false`                                |
 
 ## 触发自动部署
 
@@ -39,4 +40,4 @@
 ## 注意事项
 
 - 工作流文件 (`.github/workflows/deploy.yml`) 会自动从您的 Secrets 中读取配置并应用到 `wrangler.toml` 文件中，**请勿**直接将敏感信息写入 `wrangler.toml` 文件。
-- 如果您的数据库结构有变更（例如，修改了 `worker/src/database/schema.ts`），请记得生成新的迁移文件并提交到代码库中，GitHub Action 会自动帮您应用更新。
+- 如果您的数据库结构有变更（例如，修改了 `worker/src/database/schema.ts`），请记得生成新的迁移文件并提交到代码库中，GitHub Action 会自动帮您应用更新。

frontend/build/client/assets/main-Bd6k8RJl.css

@@ -5,8 +5,8 @@
     <link rel="icon" type="image/x-icon" href="/favicon.ico" />
     <meta name="viewport" content="width=device-width, initial-scale=1.0" />
     <title>VMAIL - Virtual Temporary Email</title>
-    <script type="module" crossorigin src="/assets/main-BdocldXg.js"></script>
-    <link rel="stylesheet" crossorigin href="/assets/main-Bd6k8RJl.css">
+    <script type="module" crossorigin src="/assets/main-g6v1k0ut.js"></script>
+    <link rel="stylesheet" crossorigin href="/assets/main-EhQP4hi8.css">
   </head>
   <script
     defer

frontend/build/client/assets/main-EhQP4hi8.css

@@ -7,6 +7,7 @@ export interface AppConfig {
   turnstileEnabled: boolean;
   sitePasswordEnabled: boolean;
   apiRateLimitPerMinute: number;
+  openApiEnabled: boolean;
   // feat: 添加 cookiesSecret 到配置中，以便前端加密时使用
   cookiesSecret: string;
   // feat: 控制是否展示推广弹框和常驻链接
@@ -23,4 +24,4 @@ export const useConfig = () => {
     throw new Error('useConfig 必须在 ConfigProvider 内部使用');
   }
   return context;
-};
+};

…end/build/client/assets/main-BdocldXg.js …end/build/client/assets/main-g6v1k0ut.jsfrontend/build/client/assets/main-BdocldXg.js renamed to frontend/build/client/assets/main-g6v1k0ut.js frontend/build/client/assets/main-BdocldXg.js renamed to frontend/build/client/assets/main-g6v1k0ut.js

@@ -253,6 +253,11 @@ API requests are rate limited based on your API Key configuration. Default limit
 
   // 创建 API Key
   const handleCreateApiKey = async () => {
+    if (!config.openApiEnabled) {
+      toast.error("API access is currently disabled");
+      return;
+    }
+
     if (!turnstileToken) {
       toast.error(t("Please complete the verification first"));
       return;
@@ -474,6 +479,11 @@ API requests are rate limited based on your API Key configuration. Default limit
               Vmail & NBility 联动注册送 Claude Code、Codex 免费额度
             </button>
           )}
+          {!config.openApiEnabled && (
+            <div className="mt-4 rounded-lg border border-amber-500/40 bg-amber-500/10 px-4 py-3 text-sm text-amber-100">
+              当前管理员已禁用 API 访问，若有需要请自行部署。
+            </div>
+          )}
         </div>
 
         {/* Get API Key Section */}
@@ -539,6 +549,11 @@ API requests are rate limited based on your API Key configuration. Default limit
                     "Create a free API Key to access the API. Each key has a rate limit of 100 requests per minute.",
                   )}
                 </p>
+                {!config.openApiEnabled && (
+                  <p className="mb-4 rounded-lg border border-amber-500/30 bg-amber-500/10 px-3 py-2 text-sm text-amber-100">
+                    当前实例已关闭 API 调用与 API Key 创建功能。
+                  </p>
+                )}
                 <div className="space-y-4">
                   <div>
                     <label className="block text-sm text-gray-400 mb-2">
@@ -566,7 +581,7 @@ API requests are rate limited based on your API Key configuration. Default limit
                   </div>
                   <button
                     onClick={handleCreateApiKey}
-                    disabled={!turnstileToken || isCreating}
+                    disabled={!config.openApiEnabled || !turnstileToken || isCreating}
                     className="px-6 py-2.5 bg-cyan-600 hover:bg-cyan-700 disabled:bg-gray-600 disabled:cursor-not-allowed rounded-lg font-medium transition-colors">
                     {isCreating ? t("Creating...") : t("Create API Key")}
                   </button>